So-net無料ブログ作成

「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々 [ウィルス/不正アクセス]

 実在企業を装ったメールを送り付け、「詳しくはこちら」のリンクをクリックさせてマルウェア(ウイルス)に感染させようとする攻撃が、先月下旬から相次いで確認されている。メールは違和感のない日本語で書かれており、十分な注意が必要だ。

 先月29日、通販サイトのNTT-X StoreとTRY×3、ホームセンターのナフコ、および佐川急便を装ったマルウェアメールについてお伝えした。その後も同様の攻撃が続いており、日本サイバー犯罪対策センター(JC3)などが注意を呼びかけている。メールの具体例はJC3のサイトで見ることができる。

■オリックス・クレジットを装うメール

 11日には、「【取組同意完了のご確認】オリックス・クレジット」という件名のメールがばらまかれた。入力された内容で手続きを進めるので契約成立まで待つように、という内容で、「詳しくはこちら」のリンクをクリックして契約状況を確認するよう促している。

 リンクをクリックすると、拡張子が「.zip」の「圧縮フォルダ形式」のファイルがダウンロードされる。zipファイルの中には「注文内容をチェック.DOC.js」というファイルが入っており、この.jsファイルを開いてしまうとマルウェアがダウンロードされ、実行される。

 オリックス・クレジットおよびオリックスは、メールに記載の「詳しくはこちら」などのリンクを絶対にクリックせず、メール自体を削除してほしいとしている。また、メールには実在する別の会社の電話番号が記載されているため、電話をかけないように呼びかけている。

・【緊急】オリックス・クレジット株式会社を装った不審なメールにご注意ください[PDF](オリックス・クレジット)
http://orixcredit.jp/press/release1710115.pdf
・【緊急】オリックス・クレジット株式会社を装った不審なメールにご注意ください(オリックス)
http://www.orix.co.jp/grp/notice5.html

■アドビを装うメール、NTT-X Store装うメールも

 5日には、「お支払いが確認できませんでした」という件名のAdobe Document Cloud チームを名乗るメールがばらまかれた。登録情報を確認して更新するようにとして、「詳しくはこちら」をクリックさせようとする内容だった。

 6日には、NTT-X Storeを装う、「【NTT-X Store】商品発送のお知らせ」という件名のメールがばらまかれた。内容、件名ともに9月下旬にばらまかれたものと同じで、荷物URL、領収書の発行などという名目で「詳しくはこちら」のリンクをクリックさせようとしていた。

 どちらも、オリックス・クレジットを装うメールと同様にリンクをクリックするとzipファイルがダウンロードされ、中身のファイルをクリックして開くと感染活動が始まる。

・【ご注意】アドビをかたるフィッシングメールについて(アドビ)
http://www.adobe.com/jp/information/acrobat/phishing.html
・【ご注意】アドビをかたるフィッシングメールについて(Adobe Japan Corporate
Communications Blog)
http://blogs.adobe.com/japan-conversations/security-phishing-alert/
・「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください(NTT-X Store)
https://help.goo.ne.jp/help/article/2230/

■「セキュリティの警告」が出たら操作をストップ

 これらのメールを受け取った人がリンクをクリックし、zipファイルがダウンロードされてしまった場合、それだけでマルウェアに感染することはない。zipファイルの中にある拡張子が「.js」や「.lnk」などのファイルを、クリックして開いた時点で感染活動が始まる。

 標準状態のWindowsでは、ネットからダウンロードした実行型ファイルを開こうとすると、「このファイルを開きますか?」という「セキュリティの警告」が表示される。メールを信じ込んでリンクを踏み、落ちてきたzipファイルの中身をクリックして開くところまで行ってしまっても、この警告が出た時点で操作を中止すると感染には至らない。

 ただし環境によっては、クリック後に「セキュリティの警告」が表示されることなく、ファイルが開かれてしまうこともある。これに関しては、下記「関連記事」の「セキュリティトピックス」で解説しているのでご覧いただきたい。

(2017/10/12 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html

【関連記事:セキュリティ通信】
・セキュリティトピックス:危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29